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Verfahren zum Uberwachen eines Feldgerates 

Die Erfindung betrifft ein Verfahren zum Uberwachen eines Feldgerates gemali 
dem Oberbegriff des Anspruchs 1. 

In der Prozessautomatisierungstechnik werden vielfach Feldgenate eingesetzt, die 
zur Erfassung und/oder Beeinflussung von Prozessvariablen dienen. Beispiele fur 
derartige Feldgerate sind Fullstandsmessgerate, Massedurchflussmessgerate, 
Druck- und Temperaturmessgerate, pH-Redoxpotential-Messgerate, 
Leitfahigkeitsmessgerate etc., die als Sensoren die entsprechenden 
Prozessvariablen Fiillstand, Durchfluss, Druck, Temperatur, pH-Wert bzw. 
Leitfahigkeitswert erfassen. 



Neben solchen Messgeraten sind auch Systeme bekannt, die neben der 
Messwerterfassung auch weitere Aufgaben erfullen; zu nennen sind hier 
Elektrodenreinigungssysteme, Kalibriersysteme sowie Probenehmer. 

Ebenfalls als Feldgerate werden Ein-/Ausgabeeinheiten sogenannte Remote l/Os 
bezeichnet. 



Zur Beeinflussung von Prozessvariablen dienen sogenannte Aktoren z. B. Ventile, 
die den Durchfluss eiper Flussigkeit in einem Rohrleitungsabschnitt Steuern Oder ' 
Pumpen, die den Fullstand in einem Behalter beeinflussen. 

Eine Vielzahl solcher Feldgerate wird von der Firma Endress + Hauser® hergestellt 
und vertrieben. 



Haufig sind Feldgerate in einer modernen Fabrikationsanlage uber ein 
Feldbussystem (Profibus®, Foundation®-Fieldbus, HART®, etc.) mit 
ubergeordneten Einheiten z. B. Leitsystemen bzw. Steuereinheiten verbunden. 
Diese ubergeordneten Einheiten dienen zur Prozesssteuerung, 
Prozessvisualisierung, Prozessuberwachung sowie zur Bedienung und 
Uberwachung der Feldgerate. 
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Von den ubergeordneten Einheiten sind auch Kommunikationsverbindungen zu 
weiteren Firmennetzwerken moglich. 

Zur Bedienung der Feldgerate sind entsprechende Bedienprogramme (Bedientools) 
im Leitsystem bzw. in der Steuereinheit notwendig. Diese Bedienprogramme 
konnen eigenstandig ablaufen oder aberauch in Leitsystem-Anwendungen 
integriert sein. 

Die Sensoren liefern Messwerte, die dem aktuellen Wert der erfassten 
Prozessvariable entsprechen. Diese Messwerte werden an eine Steuereinheit z. B. 
SPS (Speicherprogrammierbare Steuerung) weitergeleitet. 

In der Regel erfolgt die Prozesssteuerung von der Steuereinheit, wo die Messwerte 
verschiedener Feldgerate ausgewertet werden und aufgrund der Auswertung 
Steuersignale fur die entsprechenden Aktoren erzeugt werden. Neben der reinen 
Messwertubertragung konnen Feldgerate auch zusatzliche Informationen 
(Diagnose, Status, etc.) ubertragen. Die Parametrierung und Konfigurierung der 
Feldgerate erfolgt ebenfalls iiber das Feldbussystem. 

Das Feldbussystem bezeichnet man auch als Prozesskontrollsystem. 

Die Sicherheitsanforderungen an Prozesskontrollsysteme werden immer strenger. 
Deshalb sind in vielen Unternehmen Prozesskontrollsysteme von anderen 
Firmennetzwerken (SAP, Business) strong getrennt. Dadurch sollen unerlaubte 
Zugriffe auf Feldgerate vermeiden werden. Momentan konzentrieren sich die 
Anstrengungen im Hinblick auf Sicherheit bei Prozesskontrollsystemen auf die 
Netzwerk-Ebene. 

Zur Vermeidung von firmenfremden Eingriffen werden sogenannte Firewalls 
eingesetzt. Neben firmenfremden Eingriffen sind aber unberechtigte firmeninterne 
Eingriffe ebenso gefahrlich. Bei firmenintemen Eingriffen konnen z. B. Parameter in 
Feldgeraten geandert werden oder die gesamte Kontrollstrategie geandert werden. 
Dies kann zu unerwunschten Anderungen im Produktionsablauf fuhren. 
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Eine Kontrollstrategie kann z. B. mit dem System FieldCare® von der Firma 
Endress + Hauser erzeugt werden und in die Feldgerate geladen werden. 

Programme, die die Parametrierung, Konfigurierung und eine Veranderung der 
Kontrollstrategie ermoglichen (SCADA-Systeme Oder Configuration Tools) sind 
meist mit einem Passwortschutz ausgestattet. Hierbei ist auch eine Authorisierung 
der Personen die Anderungen durchfuhren notwendig. 

Z. B. konnen bei dem Centum CS 1000 Prozesskontrollsystem von Yokogawa 
kritische Funktionsblocke, die z.B. in Feldgeraten ablaufen, nur iiber die Eingabe 
von zwei Passwortern verschiedener Personen geandert werden. 

Bei der Firma Endress + Hauser gibt es ein Sicherheitsschutz gegen unberechtigtes 
Andem von Parametem bei Feldgeraten uber eine Verriegelung. Die Person, die 
Anderung vornehmen mochte, muss am Feldgerat einen Code eingeben bevor 
Anderungen am Feldgerat moglich werden. 

Feldgerate, die in Prozesskontroilsystemen eingesetzt werden, weisen 
normalerweise Mikroprozessoren mit entsprechenden Peripherie Bausteinen auf. 

Deshalb kann aber nicht ausgeschlossen werden, dass Hardware bzw. Software 
Oder auch deren Teile in einem Feldgerat unberechtigt ausgetauscht bzw. verandert 
werden. Ein derartiger Manipulation wiirde von einem Prozessleitsystem aus nicht 
erkannt werden. Sie bedeuten aber ein erheblichen Eingriff in den Prozessablauf 
bzw. die Kontrollstrategie. 

Insbesondere auch aus gesetzlichen bzw. vorschriftsmaliigen Grunden ist es fur 
einen Anlagebetreiber wichtig, dass ein manipulationssicheren Prozessablauf 
gewahrleistet wird. 
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Aufgabe der Erfindung ist es deshalb, ein Verfahren zum Oberwachen von 
Feldgeraten anzugeben, das ein unberechtigtes mMnipulieren von Feldgeraten 
nicht ermoglicht. 

Gelost wird diese Aufgabe durch die in Anspruch 1 angegebenen Merkmale. 
Vorteilhafte Weiterentwicklungen der Erfindung sind in den Unteranspriichen 
angegeben. 

Wesentliche Idee der Erfindung ist es, dass eine Steuereinheit, die uber ein Feldbus 
mit dem Feldgerat verbunden ist, in zeitlichen Abstanden eine individuelle Kennung 
des Feldgerates anfordert und diese mit einer in der Steuereinheit abgespeicherten 
Kennung vergleicht. Durch diese Abfrage wird ein Austausch der Hardware bzw. 
der Software Oder deren Teile sofort bemerkt. Insbesondere im Hinblick auf die 
Validierbarkeit einer Anlage ist das erflndungsgemalJe Verfahren wesentlich. 

In einfacher Weise kann es sich bei der individuellen Kennung um die 
Seriennummer des Feldgerates handeln. 

In einer alternativen Ausgestaltung der Erfindung kann es sich bei der individuellen 
Kennung um ein Schliissel in der Geratefirmenware des Feldgerates handeln. 

Denkbar ist auch als individuelle Kennung eine im Feldgerate abgespeicherte 
Prufsumme einer Speichereinheit zu verwenden. 

Um eine zuverlassige Protokollierung der Anlage zu ermoglichen, wird bei jeder 
Anfrage die angeforderte Kennung in einer Datenbank mit einem entsprechenden 
Zeitstempel abgespeichert. 

Sinnvoll ist ein Abspeichern der Kennung in der Datenbank nur dann, wenn eine 
Anderung der Kennung festgestellt wurde. 



Da eine Manipulation an einem Feldgerat dem Bedienpersonal unmittelbar 
mitgeteilt werden muss, wird, falls eine Anderung der Kennung eines Feldgerates 
festgestellt wurde, eine Alarmmeldung oder eine Warnungsmeldung erzeugt. 
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Da auch betriebsbedingte Anderungen am Feldgerat vorgenommen werden 
miissen, sollen Alarmmeldungen oder Ereignisse nur erzeugt werden, wenn diese 
auBerhalb spezifizierter Wartungszeitraume liegen. Oder wenn die Wartung explizit 
eriaubt/ geplant wurde. 

Nachfolgend ist die Erfindung anhand eines in der Zeichnung dargestellten 
Ausfuhrungsbeispiels naher erlautert. 

Es zeigen: 

Fig. 1 Netzwerk der Prozessautomatisierungstechnik in schematischer Darstellung. 

In Fig. 1 ist ein Netzwerk der Prozessautomatisierungstechnik naher dargestellt. An 
einem Datenbus D1 sind mehrere Leitsysteme bzw. Steuereinheiten (Workstations 
WS1, WS2) die zur Prozessvisualisierung, Prozessiiberwachung und zum 
Engeenering dienen, angeschlossen. Der Datenbus D1 arbeitetz. B. nach dem 
HSE (High Speed Ethernet) Standard der Foundation Fieldbus. Uber ein Gateway 
G1 , das auch als Linking Device bezeichnet wird, ist der Datenbus D1 mit einem 
Feldbussegment SM1 verbunden. Das Feldbussegment SM1 besteht aus mehreren 
Feldgeraten F1, F2, F3, F4, die uber einen Feldbus FB miteinander verbunden sind. 
Der Feldbus arbeitet z. B. nach dem Foundation® Fieldbus- Standard. 

Nachfolgend ist das erfindungsgemafce Verfahren naher erlautert. 

Die Steuereinheit WS1 fordert in zeitlichen Abstanden eine individuelle Kennung 
des Feldgerates z. B. F1 an. Aufgrund der Anfrage sendet das Feldgerat F1 seine 
individuelle Kennung an die Steuereinheit WS1 . In der Steuereinheit WS1 wird 
diese individuelle Kennung mit einer in der Steuereinheit WS1 abgespeicherten 
individuellen Kennung verglichen. Stimmt die vom Feldgerat iibertragene Kennung 
mit der in der Steuereinheit abgespeicherten individuellen Kennung uberein, so ist 
sichergestellt, dass keine unberechtigten Manipulationen hinsichtlich Hard- bzw. 
Software am Feldgerat vorgenommen worden sind. Dadurch ist eine Validierung 
des Prozessablaufes moglich. 
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Als individuelle Kennung ist die Seriennummer des Feldgerates F1 bzw. eine 
Schliissel in der Geratesoftware moglich. Die Steuereinheit WS1 ist mit einer 
externen Datenbank verbunden, in der jede Abfrage mit einem Zeitstempei 
protokolliert wird. Dadurch ist ein Nachweis uber einen langeren Zeitraum moglich. 

In einer alternativen Ausgestaltung der Erfindung erfolgt das Abspeichern der 
Datenbank nur, wenn eine Anderung der Kennung von der Steuereinheit WS1 
festegestellt wurde. 

In der Regel finden Wartungsarbeiten an einer Automatisierungsanlage zu genau 
spezifizierten Wartungszeitraumen statt. Urn unnotige Alarmmeldungen zu 
vermeiden, werden diese nur erzeugt, wenn sie aulierhalb spezifizierter 
Wartungszeitraume liegen. 

Die Alarmmeldung kann an der Steuereinheit WS1 angezeigt werden Oder aber 
auch uber alternative Wege z. B. eMail, SMS und Fax an die zustandigen Stellen 
weitergeleitet werden. 

In einer sehr einfachen Ausgestaltung wird in der Steuereinheit nur iiberwacht, ob 
das betreffende Feldgerat z.B. F1 mit dem Feldbus FB verbunden ist und 
funktionsfahig ist. 

Hierfur richtet die Steuereinheit WS1 eine Anfrage an das Feldgerat F1 , die eine 
Antwort des Feldgerates F1 erfordert. Falls das Feldgerat nicht antwortet, wird der 
Ausfall in der Datenbank abgespeichert. 
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Patentanspruche 

1 . Verfahren zum Clberwachen eines Feldgerates das iiber einen Datenbus mlt 
einer Steuereinheit verbunden ist, dadurch gekennzeichnet, dass die 
Steuereinheit in zeitlichen Abstanden eine individuelle Kennung des Feldgerates 
anfordert und diese mit einer in der Steuereinheit abgespeicherten Kennung 
vergleicht. 

2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass die individuelle 
Kennung die Serien-Nr. des Feldgerates ist. 

3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die individuelle 
Kennung ein Schlussel in der Gerate-Firmware des Feldgerates ist. 

4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass die Kennung eine 
Prufsumme einer Speichereinheit im Feldgerat ist. 

5. Verfahren nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, dass die angeforderte Kennung in eine Datenbank mit 
Zeitstempel abgespeichert wird. 

6. Verfahren nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, dass eine Abspeicherung in der Datenbank nur erfoigt, wenn 
eine Anderung der Kennung festgestellt wurde. 

7. Verfahren nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, dass bei einer Anderung der Kennung eine Alarmmeldung oder 
eine Warnmeldung erzeugt wird. 

8. Verfahren nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, dass eine Alarmmeldung oder eine Warnmeldung nur erzeugt 
wird, wenn sie aufcerhalb spezifizierter Wartungszeitraume liegt. 
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9. Verfahren nach einem der vorhergehende Anspriiche, dadurch gekennzeichnet, 
dass die Alarmmeldung oder die Warnmeldung an der Steuereinheit dargestellt 



wird. 



1 0. Verfahren nach einem der vorhergehende Anspriiche, dadurch gekennzeichnet, 
dass die Alarmmeldung oder die Warnmeldung (z.B., eMail, SMS, Fax) in 
elektronischer Form versendet wird. 

1 1 . Verfahren nach einem der vorhergehende Anspriiche, dadurch gekennzeichnet, 
dass die Alarmmeldungen oder Warnmeldungen an der Steuereinheit abrufbar 
sind. 

12. Verfahren nach einem der vorhergehende Anspriiche, dadurch gekennzeichnet, 
dass die Alarmmeldungen oder Warnmeldungen uber einen Client (z.B. Internet 
Explorer) abgerufen werden konnen. 

13. Verfahren zum Oberwachen eines Feldgerates das uber einen Datenbus mit 
einer Steuereinheit verbunden ist, dadurch gekennzeichnet, dass die 
Steuereinheit in zeitlichen Abstanden eine Anfrage an das Feldgerat richtet, die 
eine Antwort des Feldgerates erfordert und falls keine Antwort vom Feldgerat 
kommt, dies in einer Datenbank mit entsprechendem Zeitstempel abspeichert. 
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